CVE 資金危機：MITRE 警告網路安全恐中斷

美國政府對 CVE 和 CWE 計劃的資助即將到期，MITRE 警告可能導致網路安全中斷

網路安全的前哨戰

在當今快速發展的數位環境中，有效管理軟體和硬體中的漏洞對於維護網路安全非常重要。通用漏洞披露 (CVE, Common Vulnerabilities and Exposures) 和通用弱點列舉 (CWE, Common Weakness Enumeration) 計劃在這一領域扮演著核心角色，為識別、編目和理解資訊安全漏洞提供了標準化的方法。然而，最近有消息指出，美國政府對 MITRE 維護這些關鍵計劃的資助即將到期，這引發了人們對全球網路安全可能遭受嚴重破壞的擔憂。

網路安全社群對美國政府可能停止資助 CVE 和 CWE 計劃的消息反應迅速且深切。多家新聞媒體和網路安全公司都發布了相關報導，強調了這些計劃對於全球網路安全基礎設施的重要性。非營利組織 MITRE 最初發出警告，指出聯邦政府對 CVE 和 CWE 計劃的資助將於 4 月 16 日到期，這可能會對全球網路安全產業造成廣泛的混亂。MITRE 副總裁兼國土安全中心主任 Yosry Barsoum 在致 CVE 委員會成員的信中表示， CVE 的現有合約途徑將於該日到期。

值得注意的是，在最初的擔憂之後，美國網路安全和基礎設施安全局 (CISA, Cybersecurity and Infrastructure Security Agency) 在最後一刻採取行動，確保 CVE 和 CWE 計劃不會中斷。CISA 將延長了至少 11 個月合約期，以維持該平台的運作。儘管如此，這次事件突顯了這些計劃對美國政府的重要性，以及一旦失去資助可能造成的嚴重破壞。

MITRE：網路安全研究與發展的支柱

MITRE 公司是一家非營利組織，在網路安全領域扮演著非常重要的角色。作為一家聯邦政府資助的研究與發展中心 (FFRDC, Federally Funded Research and Development Center)，MITRE 的使命是為許多全球性挑戰提供客觀且具成本效益的解決方案，以符合公共利益。除了網路安全之外，MITRE 還在國防、航空、醫療保健等多個領域展開工作。

在網路安全領域，MITRE 負責運營國家網路安全 FFRDC，與政府和產業合作，應對對國家安全、公共安全和經濟繁榮構成嚴重風險的網路安全挑戰。MITRE 還開發了多個廣泛使用的框架，例如 MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)。該框架是一個全球可存取的知識庫，詳細記錄了網路攻擊者的策略和技術，幫助組織更好地理解和防禦網路威脅。MITRE 在網路安全領域擁有超過 50 年的歷史，已成為一個備受尊敬和信賴的組織。

MITRE 在國防、航空和醫療保健等關鍵基礎設施領域的廣泛參與，其網路安全工作，包括對 CVE 和 CWE 計劃的管理，具有超越技術產業的深遠影響。這些計劃可能在保障國家安全和公共安全方面發揮著非常重要的作用。此外，MITRE ATT&CK 框架的開發和廣泛採用，證明了 MITRE 建立和維護基礎資源的能力，這些資源受到全球網路安全社群的高度重視和利用，這也為其關於資助中斷的警告增添了可信度。

CVE：漏洞識別 Common Vulnerabilities and Exposures

CVE 系統提供了一種參考方法，用於公開已知的資訊安全漏洞和風險。每個漏洞都被分配一個唯一的 CVE 識別碼 (CVE ID) 。MITRE 公司是 CVE 列表的主要維護者，擔任編輯和主要 CNA（CVE 編號授權機構），負責系統的整體管理和完整性。

CVE 計劃的主要目的是唯一地識別並編目公開披露的網路安全漏洞，確保每個已知的缺陷都有一個獨特的識別碼。它還建立一種通用且標準化的語言，用於跨不同組織、工具和平台討論和引用安全漏洞。此外，CVE 促進了不同網路安全資料庫和工具之間漏洞資料的無縫共享，促進了更好的協作和資訊交換。最後，它作為評估組織安全工具和漏洞管理工作全面性和覆蓋範圍的基本基準。

CVE 在更廣泛的網路安全領域中扮演著非常重要且不可或缺的角色。它作為支撐整個全球網路安全生態系統的基礎支柱，為漏洞管理提供了關鍵的基礎設施。它對於有效的漏洞管理流程、高效的事件響應活動以及關鍵基礎設施的整體保護非常重要。CVE 還促成了協調一致且負責任的漏洞披露實踐，使供應商和研究人員能夠有效地管理和溝通安全問題。CVE 系統被廣泛採用並被各種利益相關者使用，包括安全工具供應商、軟體供應商和全球各個組織。前 CISA 主任 Jen Easterly 恰如其分地將 CVE 系統描述為網路安全的「杜威十進制圖書館分類法，突顯了其在組織和引用漏洞資訊方面的重要作用。如果沒有 CVE 的存在和持續運作，網路安全領域可能會面臨更大的混亂，導致防禦反應變慢，全球網路風險顯著增加。

將 CVE 比作網路安全的「杜威十進制圖書館分類法」生動地說明了其在結構化和為大量漏洞資訊提供通用參考點方面的基本作用。這突顯了如果該系統受到損害或無法使用，網路安全社群內可能出現的廣泛混亂和效率低下。正如圖書館依賴標準化的編目系統來管理其館藏一樣，網路安全社群也依賴 CVE 來組織和存取有關漏洞的資訊。CVE 的中斷將等同於失去有效定位和管理圖書館中關鍵資訊的能力，導致混亂並阻礙對安全威脅的有效響應。此外，許多網路安全專家和組織在 MITRE 發出關於潛在資金中斷的警告後立即表達了廣泛的擔憂和反應，這清楚地表明了網路安全社群對 CVE 計劃的深刻依賴。這些反應強調了如果該計劃中斷，整個行業可能會遭受重大且負面的後果。

迫在眉睫的資金危機

美國政府對 MITRE 的 CVE 和 CWE 計劃的資助最初預計將於 2025 年 4 月 16 日星期三到期。MITRE 副總裁兼國土安全中心主任 Yosry Barsoum 向 CVE 委員會成員發送了一封關鍵的警告信，提醒他們即將到來的資金到期以及潛在的後果。隨後，CISA 在最後一刻採取干預措施，導致臨時延長合約，以防止計劃立即關閉。據報導，這次合約延長的期限為 11 個月，這表明問題得到了暫時緩解，但也引發了對長期未來的疑問。

MITRE 的初步警告強調了 CVE 計劃可能受到的多重影響，包括國家漏洞資料庫的惡化、工具供應商的中斷、事件響應能力的限制以及對關鍵基礎設施的廣泛影響。CISA 的官方聲明證實了合約的延長，強調了 CVE 計劃對網路社群的無價之寶以及 CISA 對確保關鍵 CVE 服務不中斷的承諾。MITRE 也對全球網路社群、產業和政府的壓倒性支持表示感謝，並重申其對 CVE 和 CWE 作為重要全球資源的承諾。

網路安全社群對最初的資金不確定性表達了廣泛的擔憂。許多網路安全專家和專業人士對如此重要的計劃可能關閉表示震驚和擔憂。許多人警告說，如果沒有正常運作的 CVE 計劃，可能會導致混亂加劇和全球網路風險顯著增加。

MITRE 的嚴峻警告：潛在的網路安全中斷

MITRE 和其他領域的專家警告了許多潛在的網路安全中斷。這些包括國家漏洞資料庫和安全公告的惡化，這會影響安全專業人員和組織追蹤和應對新出現的威脅。由於缺乏標準化的識別碼和資訊，供應商對新發現漏洞的回應和更新可能會減慢。事件響應操作也可能受到限制和挑戰，因為安全團隊在沒有 CVE 和 CWE 參考的情況下，將難以快速識別和理解漏洞的性質。

此外，MITRE 警告說，所有類型的關鍵基礎設施都可能受到廣泛且嚴重的影響，因為這些基礎設施依賴及時的漏洞資訊來保護其通常敏感且重要的系統。CVE 編號授權機構 (CNA) 將無法保留和分配新發現漏洞的新 CVE 識別碼，導致追蹤方面的延遲和不一致。安全專業人員和組織在沒有通用且普遍認可的識別碼的情況下，追蹤新的和值得注意的漏洞將會更加困難。MITRE 維護的集中式 CVE 儲存庫可能會消失，該儲存庫是漏洞資訊的單一事實來源。許多依賴一致且最新的 CVE 資料的受信任安全工具和既有安全流程可能會崩潰。由於嚴重依賴 CVE 和 CWE 提供的共享語言和框架，網路安全社群內部的全球協調工作可能會瓦解。由於修補延遲和缺乏明確的漏洞資訊，成功網路攻擊和勒索軟體攻擊的風險預計會增加。由於組織在沒有標準 CVE 和 CWE 框架的情況下難以管理漏洞，安全運營和合規工作的成本可能會更高。由於全球漏洞管理基礎設施被認為減弱，客戶和監管機構的信任可能會喪失。總體而言，對新興威脅的防禦反應將會減慢，全球網路風險會普遍增加。

全球影響：一個更不安全的世界？

如果美國政府停止資助 CVE 和 CWE 計劃，可能會對全球產生廣泛的影響。CVE 計劃不僅僅是一項以美國為中心的倡議，而是全球網路安全生態系統的基礎支柱，受到全球組織和個人的依賴。全球各個國家和產業都廣泛依賴 CVE 作為漏洞識別和管理的事實標準。如果沒有像 CVE 這樣集中且普遍接受的系統，全球漏洞追蹤工作可能會嚴重碎片化，可能導致不一致和混亂。國際網路安全社群可能會面臨更多的混亂和困惑，因為不同的實體可能會採用不同的方法來識別和引用漏洞。由於缺乏及時且標準化的漏洞資訊，全球範圍內新興網路威脅的修補週期可能會延遲，整體防禦反應也會變慢。結論是，停止資助可能會導致整體全球網路風險增加，使每個人的數位環境變得不那麼安全。此外，開源軟體專案的安全性也可能受到負面影響，這些專案嚴重依賴 CVE 來協調分散式開發團隊之間的漏洞修復。

全球使用的軟體中的漏洞可能被位於世界任何地方的威脅行為者利用。因此，一個用於追蹤這些漏洞的集中式全球資源對於集體防禦和確保國際數位環境的基本安全非常重要。即使是像美國這樣的一個國家可能停止資助，也會對整個全球社群的安全產生深遠的影響。與美國對 CVE 的資金不確定性同時出現的歐洲漏洞資料庫 (EUVD)可能被解釋為國際社會越來越認識到需要替代或補充的漏洞追蹤系統。這一發展可能預示著長期以來對美國資助的 CVE 計劃的唯一依賴正在發生轉變，這表明全球漏洞管理基礎設施正朝著更加分散和彈性的方向發展。EUVD 的推出時間恰逢 CVE 資金恐慌，這表明其他地區正在主動考慮其自身的漏洞管理能力。這可能是出於對更大獨立性的渴望、在未來 CVE 中斷的情況下需要冗餘，或者認識到多方利益相關者、地理上多樣化的漏洞追蹤方法可能更強大且更具可持續性。這一發展標誌著全球漏洞管理格局的潛在演變。

探索替代方案：彌合資金缺口並確保連續性

已經出現了關於替代資金來源或長期解決方案的各種討論和提案，以確保 CVE 和 CWE 計劃的連續性。其中最引人注目的是 CVE 基金會的迅速成立，這是一個新的非營利組織，其明確目標是確保 CVE 計劃的長期可行性、穩定性和獨立性。網路安全公司（如 VulnCheck）也採取了積極措施，承諾將繼續分配 CVE，甚至主動為 2025 年預留了一批 CVE，以幫助緩解潛在的混亂。

此外，人們還就這些關鍵計劃需要使其資金來源多樣化進行了更廣泛的討論，擺脫對美國政府的唯一依賴。已經提出了具體的建議，要求主要產業參與者和直接受益於 CVE 和 CWE 計劃的上市公司增加資金投入。人們還探討了開發更分散的漏洞追蹤和 CVE 分配模式的想法，可能涉及更廣泛的組織和實體。電腦事件應急中心盧森堡 (CIRCL) 推出了全球 CVE (GCVE) 分配系統，這是一個新的、分散式的漏洞識別方法。值得注意的是，MITRE 的領導者多年來一直倡導增加對 CVE 和 CWE 計劃的私人資金投入，這表明他們早就意識到潛在的資金風險。

寫在後面：保障漏洞管理未來的安全

CVE 和 CWE 計劃在全球網路安全生態系統中扮演的絕對關鍵角色，為漏洞識別、分類和管理提供了必要的基礎設施。儘管 11 個月的合約延期提供了暫時的喘息之機，但由於這些計劃的美國政府資金不確定性，造成大量的疑慮。非常重要的是，無論是透過持續且一致的政府資金、新成立的 CVE 基金會的成功建立和運營、直接受益於這些資源的產業利益相關者的更多資金投入，還是這些方法的結合，都必須確保長期、可靠地支援這些重要計劃。為了在日益複雜和相互關聯的全球數位環境中維持合理的安全和穩定性，迫切需要一個穩定、強大且普遍信任的漏洞識別和列舉系統。最後，我們必須思考這些基本計劃的未來，以及包括政府、產業、研究人員和個人專業人士在內的整個網路安全社群的集體責任，以積極貢獻力量並確保它們在面對不斷演變的網路威脅時能夠持續成功和發展。

The Key | 每天的關鍵

搜尋此網誌